Ya logré entrar a mi 2wire por el puerto 50001. Les comparto como lo hice por si quieren probar.
Se me ocurrió que tal vez usando TR-069 podría obtener el usuario y contraseña de la administración remota. TR-069 describe el CPE WAN Management Protocol (CWMP), mediante este el ISP puede auto-configurar un Customer Premises Equipment o CPE (en nuestro caso el módem), actualizar su firmware, administrar módulos, monitorearlo y ejecutar diagnósticos, todo remotamente desde un Auto-Configuration Server (ACS)
La idea es que el 2wire use el ACS que levantemos y no el de Telmex (
https://cwmp.telmex.com/), entre algunos pocos proyectos que encontré decidí probar el siguiente:
http://github.com/dpavlin/perl-cwmpMe pareció ligero y fácil de instalar, básicamente se va a encargar de pedirle todos los parámetros que pueda a nuestro módem, aunque también puede hacer otras funciones como modificar valores.
Cuando empecé a probarlo me di cuenta de que entraba en un ciclo infinito donde solo obtenía el nombre de los parámetros y si estos son modificables o no. Así que recomiendo hacer el siguiente paso primero para ordenarle manualmente que obtenga también los valores (creando una cola):
$./bin/cpe-queue.pl [SerialNumber] --introspect
Ya podemos iniciar el servidor:
Ahora debemos cambiar el ACS URL de Telmex que se encuentra en
http://192.168.1.254/mdc > "Avanzada" > "Configurar Servicios" por el URL del servidor que pusimos localmente, por ejemplo
http://192.168.1.1:3333/Hay que esperar a que el módem inicie una conexión con el ACS para que le pueda pedir parámetros, esto puede ocurrir por un informe periódico u otros eventos, si tarda mucho podemos reiniciar el módem. También se podría hacer un "Connection Request" al puerto 3479 del 2wire al path '/tr069_connreq_00D09E-[SerialNumber]' pero la contraseña no la conozco, sin embargo puede ser modificado por el ACS

.
Una vez iniciada la conexión empiezan los request, después de unos 500 pueden detenerlo y revisar el archivo .yml generado:
$ cat yaml/*.yml | grep MDC
El parámetro exacto es InternetGatewayDevice.X_00D09E_Custom.MDCURL y dentro del URL aparecen como usuario el número de serie y como contraseña un número hexadecimal de 36 dígitos,
probablemente diferente para cada módem. Si no tienen activada la función va a salir vacio. Es claro que Telmex puede ver esos valores fácilmente.
Los probé y logré entrar, es la misma interfaz web del menú avanzado aunque pueden saltar a la normal. Aproveché para entrar a /xslt?PAGE=Z02 y es similar al URL Mágico

Otra forma de obtener estos valores es ir a
http://192.168.1.254/mdc y aplicar un filtro "cwmd" en el "Registro Detallado", y buscar una entrada similar a esta:
WRN [FECHA] cwmd: server=https://[OUI]-[SerialNumber]:[Password]@cwmp.telmex.com/ result 400 - retrying
pero no es seguro que dicha entrada este presente en el log.
Estas pruebas las hice en con un 2wire 2701HG-T firmware 5.29.52.0 si lo hacen con otros avisen si les funcionó.
Como dato adicional, se acuerdan que salió un 2wire modelo 4011g-001??
Estos módems eligen un puerto aleatoriamente entre el 2000 y 2999 para la administración remota, y cambia cada reinicio. En algunos el puerto 80 también esta abierto. La contraseña es la WEP KEY predeterminada, tanto la de usuario normal como la de "Soporte Técnico" que pide en /xslt?PAGE=C_4_0.
Pero como presentan problemas no se distribuyeron muchos. He leído que los volvieron a distribuir.
Espero al menos haber aclarado la duda sobre el puerto 50001
Saludos!!